Atteinte à la sécurité

Un utilisateur a réussi à accéder à notre base de donnée LDAP et a publié les adresses de courriel, les identifiants et apparemment les hash des mots de passe de tous ceux qui se sont enregistrés sur identity.mageia.org. Toutefois les hash publiés ne correspondent pas à ceux que nous avons enregistrés, ainsi il n’est pas certain que les mots de passe actuels aient été compromis. À titre de précaution tous les mots de passe ont été réinitialisés. De nouvelles règles ont été ajoutées pour prévenir tout accès au serveur LDAP. Les administrateurs système recherchent la façon dont on a pu accéder aux bases bien que la configuration aurait dû l’éviter.

Les mots de passe stockés sur le serveur LDAP de Mageia sont chiffrés avec hachage et sel (hash et salt), ce qui signifie que leur décryptage complet, s’il ont bien fuité, dans un format exploitable requerrait  une puissance de calcul significative pour des mots de passe sûrs et complexes. Bien que les données compromises semblent ne laisser apparaître que les noms et les adresses de courriels de identify.mageia.org, nous recommandons fortement aux utilisateurs d’être très prudents si les mots de passe de leur compte Mageia sont utilisés ailleurs, et de les changer partout où ils ont été utilisés.

Pour retrouver l’accès à votre compte Mageia, la réinitialisation du mot de passe devrait être suffisante pour tous les utilisateurs sans accès git. Le lien de réinitialisation peut être obtenu sur https://identity.mageia.org/forgot_password, après quoi vous recevrez un courriel contenant le lien.

Les utilisateurs privilégiés devront contacter un administrateur système pour retrouver leur accès.

Nous sommes sincèrement désolés pour tous les problèmes et dérangements que cela a pu vous causer.

Rédaction de Patricia Fraser – Traduction d’André Salaün

Publié dans Mageia, Sécurité | Laisser un commentaire

Mise à jour de l’atténuation des effets de Spectre-Meltdown

Depuis l’édition hier de la version 4.14.18 – – http://advisories.mageia.org/MGASA-2018-0125.html – nous sommes maintenant en position de réduire les effets, principalement sur la version x86_64,
Nous avons maintenant tout en place pour  Spectre v1, v2 et Meltdown.

Bien sûr pendant les semaines ou les mois qui viennent, il y aura d’autres correctifs venant de l’amont pour traiter des cas particuliers, des correctifs oubliés et des améliorations pour tout cela…

Et nous avons toujours besoin qu’Intel et AMD publient les micrologiciels  de sorte que les vendeurs de matériel puissent fournir des BIOS/EFI modifiés, et de les publier pour que nous puissions les fournir comme mise à jour dans le cas où ces mêmes vendeurs ne seraient pas en mesure de fournir des nouveaux BIOS/EFI.

Oh ! et pour ceux qui aiment vérifier 🙂 la façon officielle de vérifier le statut du  noyau est :

grep . /sys/devices/system/cpu/vulnerabilities/*

Le support de meltdown est toujours manquant pour la version 32 bits de mga6, mais maintenant (9 fév.) j’ai regroupé les correctifs proposés en amont pour cela, donc, un noyau avec ces correctifs va arriver dans le dépôt testing en fin de journée par une mise à jour vers 4.14.19.

Il manque toujours un peu de performances, mais on s’en occupe…

Merci beaucoup à tmb pour avoir pris le temps de nous fournir cette mise à jour !

Rédaction de Patricia Fraser – Traduction de Lebarhon et Yogilou

Publié dans Chroniques, Mageia | Laisser un commentaire

Fosdem 2018 – et petite chronique

Avant que nous partions au FOSDEM, une importante mise à jour nous est parvenue dans les dernière heures, ceci fait suite à l’explication de tmb de la dernière chronique :

MGASA-2018-0125 – Paquets mise à jour de noyau, correctifs de vulnérabilités de sécurité.
Date de publication : 11 Fév 2018
URL: https://advisories.mageia.org/MGASA-2018-0125.html
Type: sécurité
CVE: CVE-2017-5715, CVE-2017-5753

Description :
Cette mise à jour de noyau est basée sur la version amont 4.14.18 et ajoute des prises en charge de réduction des effets de Spectre, variant 1 (CVE-2017-5753) et comme il est compilé avec  retpoline-aware gcc-5.5.0-1.mga6, il fournit maintenant l’atténuation totale de retpoline pour Spectre, variant 2 (CVE-2017-5715). WireGuard a été mis à jour vers 0.0.20180202. Cette mise à jour corrige aussi le pilote rtl8812au qui a été cassé/oublié dans la mise à niveau vers les noyaux de la série 4.14  (mga#22524). Au sujet des autres correctifs dans cette mise à jour, lire le journal des changements cité en référence.

Merci beaucoup à tmb et aux autres développeurs pour tout le travail fourni à ce sujet !

FOSDEM

Nous reviendrons la semaine prochaine avec une chronique plus fournie, maintenant, c’est le FOSDEM, par quelqu’un qui y est allé chaque année…

Depuis la naissance de Mageia,  FOSDEM a toujours été un événement très important pour nous (NdT : salon du logiciel libre à Bruxelles). Six fois, nous y avons tenu un stand et notre assemblée générale pendant la manifestation, nous avons toujours pris le repas Mageia et il y avait à chaque fois toujours plus de plaisir à tenir la réunion.

Ce billet pourtant a failli ne jamais être écrit, car jusqu’à moins d’une semaine avant le FOSDEM, on était sûr de la présence d’un seul membre du conseil, akien. Cependant, il devait principalement être là pour un autre projet vraiment intéressant, le Godot Engine. https://godotengine.org/. A part cela, notre démarche pour obtenir un stand a été refusée (de nouveau  (https://blog.mageia.org/en/2017/01/26/mageia-meet-up-and-talk-at-fosdem-2017/}.

Six jours avant le FOSDEM, les noms ont commencé à s’ajouter sur notre page wiki du FOSDEM 2018 https://wiki.mageia.org/en/Fosdem_2018. Le lendemain, il devenait certain que ennael serait au FOSDEM et le mercredi, le nombre des membres du conseil est passé de 2 à 4. Ce ne fut qu’ensuite que nous avons essayé de trouver des volontaires pour aider à organiser les différents moyens de se rencontrer à Bruxelles.

Nous regrettons profondément cela, nous sommes conscients que probablement plus de magéiens auraient aimé être là, si les choses avaient été mieux organisées et plus tôt.

La réunion informelle « non- assemblée générale »

Au bout du compte il y eut au moins 14 magéiens au FOSDEM. Nous n’avons pas vraiment pu nous rencontrer, mais la plupart ont participé à une réunion informelle (l’Assemblée Générale doit se tenir en ligne avec Mumble http://madb.mageia.org/package/show/name/mumble dans quelque temps, afin que davantage de membres du conseil/bureau/association puissent participer.

La plupart des choses dites pendant la réunion informelle seront redites durant l’AG, sauf celles de Karine qui est trop nouvelle contributrice (elle deviendra officiellement contributrice lors de la tenue du CA   ;-))  et suite à une remarque faite par tmb après que ennael nous ait dit  qu’un grand nombre de contributeurs avaient aussi des soucis de santé. Il a dit quelque chose du genre « Magéia, la distribution aux soucis de santé ». Nous avons bien ri, mais il y avait du vrai dans cette remarque : les contributeurs qui ont des soucis de santé sont les bienvenus à Magéia, tout autant que ceux en bonne santé.

Mageia n’aurait jamais existé si elle avait été crée uniquement par des personnes en pleine santé (pas plus que si elle avait été crée uniquement par des personnes en mauvaises santé d’ailleurs, bien entendu  😉 ). D’ailleurs, si vous souhaitez contribuer mais vous vous demandez si vous êtes suffisamment en bonne santé pour être bienvenu, votre contribution sera aussi bien accueillie que celle de quiconque. Il n’y a pas de minimum de travail requis, alors tâchez de rejoindre une équipe https://wiki.mageia.org/en/Contribuer-fr et une tâche http://www.mageia.org/contribute/
et contribuez quand vous vous sentez pour le faire.

Mageia : le  repas  du samedi

Sans avoir fait de réservation, et après une longue marche en  longeant de nombreux restaurants, nous en cherchions un qui ait assez de place pour nous tous et huit d’entre nous ont eu un agréable repas dans un restaurant halal, « une première » pour la plupart d’entre nous. C’est devenu une tradition d’aller ensuite dans un autre restaurant pour savourer une gaufre. En fait ce n’est pas forcément la meilleure tradition, étant donné la taille du ventre de certains.

Mageia : l’événement bière (le déjeuner) du dimanche

Pendant la réunion informelle, akien proposa ce qui pourrait devenir une nouvelle tradition : se rencontrer à midi autour d’une bière. Pour certains ce fut plus déjeuner que boire de la bière, mais de toute façon, c’était bien agréable d’être ensemble, parce que sans le stand Mageia, il n’y a pas d’endroit pour se rencontrer.

Fosdem

Il semble que chaque année le FOSDEM devienne de plus en plus fréquenté et de plus en plus de présentations attirent toujours plus de visiteurs que la pièce puisse contenir. L’un des magéiens trouva le FOSDEM très difficile : « à cause de la foule de gens j’ai raté les ‘importantes interventions auxquelles je souhaitais assister car il fallait se pousser et perturber l’intervention précédente pour avoir quelque chance de la suivre avant que la salle ne ferme. Dans une salle la qualité du son retransmis était si mauvaise que je ne pouvais rien entendre.  À cause de ces désagréments je n’y reviendrai pas. Je suis vraiment déçue et frustrée de perdre ainsi mon temps. Cela a été pointé au FOSDEM et ils ont été critiqués, le fait que j’ai adoré vous y rencontrer ainsi que d’autres n’a rien à voir avec cela. »

Beaucoup de conférences en vidéo ici : https://video.fosdem.org/2018/  et là :  https://www.youtube.com/user/fosdemtalks/videos.

Mageia : les rendez-vous futurs

Parce que le FOSDEM est si couru, au point que qu’on ne puisse pas entrer dans une salle ou avoir un stand, cela a été vraiment difficile aux magéiens de se voir. Peut-être nous faut il réfléchir à un autre point de rencontre – pour le moins moins fréquenté et avec des conférences mieux organisées, ou même des conférences à l’extérieur ?  Vos conseils seront précieux à ce propos – merci d’apporter vos commentaires ci-dessous, donner de la voix dans les forum et sur les listes de diffusion.

Un grand merci à Marja d’avoir écrit tout cela ! on aurait aimé y inclure quelques photos, mais les magéiens qui en ont pris sont si timides – alors peut-être la semaine prochaine…

Rédaction de Patricia Fraser – Traduction de Yogilou et Lebarhon

Publié dans Non classé | 3 commentaires

Chronique hebdomadaire – 2018 – Semaine 5

L’arrivée de mises à jour s’est un peu ralentie cette semaine :

sox (Mga 5, 6); java-1.8.0-openjdk (Mga 5,6); rsyncMga 5,6; gdk-pixbuf2.0 (Mga5) – comme toujours, vérifiez Mageia Advisories pour les détails.

Avec 409 mises à jours faites pour Cauldron, il s’en est passé des choses !

Dans les coulisses, on s’active encore sur le mécanisme de l’appliquette de la boîte à miniatures pour la mise à niveau ,  sur l’atténuation des méfaits de Meltdown/Spectre et sur une probable parution de Mageia 6.1, alors les équipes de développement et d’Assurance Qualité sur lesquelles nous comptons sont manifestement très occupées. Comme toujours, vous pouvez vérifier par vous-même sur Mageia Advisories, la base de données Mageia AppDB, et PkgSubmit pour voir les nouvelles des 48 dernières heures, ainsi que Bugzilla pour voir ce qu’il se passe en ce moment.

Et presque quotidiennement, il y a de plus en plus de nouvelles traductions ou mises à jours d’articles ; nos plus profonds remerciements à l’équipe de traduction qui rend  Mageia si agréable aux utilisateurs du monde entier !

Informations d’étape sur les réductions de Meltdown/Spectre

De tmb, notre gourou du noyau qui est extrêmement occupé et à qui nous disons merci quotidiennement :

« Si vous tapez :
grep cpu_insecure /proc/cpuinfo && echo "patched" || echo "unpatched"

et que vous obtenez

unpatched

Ne vous inquiétez pas – c’est une vérification non valide. Les sources officielles de Linux n’ont aucun paramètre « cpu_insecure ».

Si vous tapez
cat /proc/cpuinfo | grep bugs

et obtenez
bugs            : cpu_meltdown
bugs            : cpu_meltdown
bugs            : cpu_meltdown
bugs            : cpu_meltdown

Cela signifie que votre microprocesseur est affecté par meltdown et a besoin d’être protégé par kpti. Le seul moyen de tirer un trait sur cette notification est d’acheter un nouveau matériel. Ça veut dire que d’après Intel il faut attendre leur nouveau prototype qui deviendra un nouveau microprocesseur vers la fin de l’année 2018 ; pour AMD et le problème de Spectre, ça veut dire acheter un microprocesseur basé sur Zen2 qui est supposé sortir cette année 2018.

Si vous avez testé avec https://github.com/speed47/spectre-meltdown-checker et que le résultat est négatif, c’est prévisible.

Parce que :

  1. La première variante de Spectre est dure à corriger, et encore plus dure à exploiter – il y a un réel besoin d’une mise à jour du micro-code qu’Intel a bâclé. Selon Lenovo, il devrait y avoir une solution qui sortirait vers le 9 février. Officiellement AMD ne délivrera la mise à jour du microcode qu’aux vendeurs de matériel, cela dépendra alors de ces derniers et de leurs mises à jour pour leurs BIOS ou de nos possibilités de récupérer ce microcode par d’autres moyens. Il y a d’autre réduction de code ici aussi, mais autant que je sache ce n’est pas encore prêt.
  2. La seconde variante de spectre aussi a vraiment besoin d’une mise à jour du microcode et de réductions du noyau par les codes [l’IBRS] [(Indirect Branch Restricted Speculation)]/IBPB [(Indirect Branch Prediction Barrier)]/… qui viennent seulement d’atterrir en amont la semaine dernière et ont encore besoin d’être rétroportées à la version à long terme 4.14. Et nous avons une réduction alternative avec un retpoline minimal dans la file https://bugs.mageia.org/show_bug.cgi?id=22454 (je prévois de l’envoyer au plus tard aujourd’hui [05/02/2018] aussitôt que j’aurai écrit les informations). Pour un retpoline complet nous avons besoin d’un compilateur revu,  j’ai obtenu des corrections pendant le FOSDEM et c’est maintenant appliqué pour GCC 5.5.0 en cours de test, alors le prochain noyau aura un retpoline complet.
  3. Les réductions de Meltdown ont été rétroportées jusqu’à la version 4.14.13, voir dans http://advisories.mageia.org/MGASA-2018-0076.html.

NOTE : les réductions par KPTI (Kernel Page Table Isolation) en concernent pour l’instant que l’architecture x86_64, mais quelques patches suggérés ont été publiés comme RFC pour i586 et on l’espère le plus tôt possible, devraient finir par atterrir en amont et être rétroportés. Mais là encore, meltdown n’est pas d’exploitation aussi facile pour les systèmes 32 bits du fait qu’il y a déjà la séparation 3G/1G de la mémoire, ce qui cause d’autres complications.

Maintenant je sais que quelques distributions ont patché dans l’urgence les choses avec une version prématurée, mais par exemple Redhat, autant que je sache, est revenu en arrière puisque ceci causait plus de problèmes que cela en résolvait, alors j’ai choisi de compter sur du code testé, accepté et venant de la filière amont.

Voilà où nous en sommes en ce moment. Si les développeurs en amont gardent ce rythme actuel nous pouvons espérer avoir tous les morceaux en place d’ici environ une semaine… »

Merci tmb !

D’autre nouvelles :

Les membres de [LinuxQuestion] Choice Awards font actuellement un sondage. Vous pouvez vous inscrire et voter pour Mageia, votre distrib  favorite et l’aider a faire un petit « buzz » marketing. Vous trouverez le sondage ici :
https://www.linuxquestions.org/questions/2017-linuxquestions-org-members-choice-awards-126/

Si vous n’êtes pas un membre du groupe de LinuxQuestion.org, vous n’avez qu’à vous inscrire et  à répondre  sur leur site. Ça vous permettra de voter pour toutes sortes de choses  Linux. Faites passer le mot aux autres fidèles de Mageia et faites  que votre voix compte !

Rédaction de Patricia Fraser – Traduction de Jean-Baptiste Biernacki – Relecture de Mickael Albertus

Publié dans Chroniques, Mageia | Un commentaire

Chroniques hebdomadaires 2018 – semaine 3 et 4

Des excuses pour la chronique hebdomadaire  manquante de la semaine 3 ; tandis que l’hémisphère nord se gelait, ici en dessous,  dans le sud, nous étions dans une étuve. Hélas, cela ne favorise pas la concentration !

FOSDEM

Février, c’est le mois du FOSDEM  – Viendrez-vous à Bruxelles ? Même si cette année nous n’avons pas de stand, les magéiens aiment se retrouver au FOSDEM. Cliquez donc sur la page des événements sur le wiki, et faites-vous connaître afin  que les rencontres et le dîner puissent être organisés.

Quelques nouvelles

Nous avons été informés que le miroir miror.math.princeton.edu ne fonctionnait plus et qu’il serait réinstallé à 9h le jeudi 1er février. Nous espérons qu’il sera à nouveau fonctionnel à midi, ce même jour. Notez bien que leur fuseau horaire est UTC -5, heure de l’est des États-Unis.

Mises à jour de Mageia 5 and 6

Paradoxe de Zénon
Tout  comme Zénon d’Élée et sa tortue, nous n’en avons pas fini avec les mises à jour de Mageia 5 – il y a toujours quelques failles de sécurité concernant Meltdown et Spectre dans les tuyaux. Nous ferons un article séparé dans le blog pour vous informer. Les mises à jour récentes concernaient nspr, rootcerts, nss, firefox, firefox-l10n, glibc, bind, squid and gdk-pixbuf2.0. Cliquez sur https://advisories.mageia.org/ pour de plus amples détails et remarquez surtout qu’il n’y a aucune correction pour Mageia 5.

Une mise à jour de l’appliquette de la boîte à miniatures pour la mise à niveau de Mageia 5 à Mageia 6 est en phase de test ; surveillez bien les mises à jour qui concernent cet utilitaire. Nous espérons que cela facilitera bien le passage de la 5 vers la 6 pour tous ceux et celles qui procéderont de cette façon.

Quant à Mageia 6, la liste des mises à jour de sécurité est encore plus longue – webkit2, kmod-vboxadditions, kmod-virtualbox, virtualbox, graphicsmagick, nspr, rootcerts, nss, firefox, firefox-l10n, glibc, locales, systemd, bind, unbound, golang, mariadb, gdk-pixbuf2.0, gifsicle and squid. Les correctifs de bogues concernent : joe , mpv, radeon-firmware, ldetect-lst, libdrm, mesa, wayland-protocols, x11-driver-video-amdgpu, x11-driver-video-ati, x11-driver-video-intel, subtitlecomposer, nvidia340, smtube, smplayer, cargo and rust.

Cauldron

Dans  les deux semaines depuis la dernière Chronique, le nombre absolument stupéfiant de 939 mises à jour de paquets ont été ajoutés à Cauldron ! Est-ce que les développeurs travaillent si dur pour se maintenir au chaud ? Merci à eux tous ainsi qu’aux personnes qui valident et  traduisent pour leur étonnante quantité de travail.

Comme d’habitude, vous pouvez cliquer sur  Mageia Advisories, la base Mageia AppDB, PkgSubmit pour les informations des dernières 48 heures, et Bugzilla pour ce qui arrive.

Les mises à jour du wiki

Il y a eu également  beaucoup de travail sur le wiki, avec des mises à jour et des ajouts ; pointez sur la page des  changements récents, là où on peut s’abonner aux fils Atom et éventuellement, recevoir une alerte  quand des changements sont effectués.
https://wiki.mageia.org/en/Special:RecentChanges
Si l’on est inscrit dans le wiki, la page s’affiche dans la langue souhaitée par la personne connectée.
Rédaction de Patricia Fraser – Traduction de de Yogilou

Publié dans Non classé | Un commentaire